Форум по программам и оборудованию > >

Возможная утечка данных при оплате картой в МТС

22.11.2019 13:47


20.09.2017 22:57
OlegON
 
Неоднократно предупреждал, что ни в коем случае нельзя устанавливать на страницах с чувствительной информацией внешние скрипты, т.е. скрипты, закачиваемые с других серверов. Никто не знает, что взбредет в голову их авторам, администраторам их серверов и еще куче людей, в зависимость от которых вы попадаете.

Представьте себе программу, которая с каждым запуском подгружает и запускает что-то из интернета с сервера, о котором вы ничего не знаете и который никак не связан с разработчиком. Вопросов бы разработчику не задавали? Я думаю, что было бы, как минимум, недоумение. Что касается культуры разработки сайтов, то тут, видимо, никто не озабочен, из чего сайт собирается. А зря…

Настоящую бомбу я обнаружил на сайте МТС. Нет, я не говорю, что МТС единственные, кто так облажался. Скорее всего, даже наоборот. Мало кто задумывается, что может произойти. А произойти может вот что…



Для тех, кто не может посмотреть видео или послушать, что я там объясняю, продублирую:

Зашел на сайт МТС, в ту часть, где принимаются платежи. С удивлением обнаружил, что помимо наших с МТС глаз, в процедуре платежа торчат еще одни. Т.е. воткнут внешний скрипт аналитики, подгружаемый совсем не с сайта МТС. Огорчился. И для демонстрации того, что может произойти без ведома МТС и уж, конечно, пользователя сайта, подменил адрес аналитики для своей локальной сети таким образом, чтобы скрипт аналитики грузился с моего сервера. Понятное дело, что содержимое скрипта я тоже поменял.

Таким образом, загрузившись, сайт МТС в браузере попадал под управление моего скрипта. А уже этому скрипту я сказал отсылать мне на сервер все данные по введенной карточке, включая CVV, и менять сумму платежа на максимальную. Это чуть ли не простейшее, что может скрипт с такими правами натворить. Зачем так подставляться разработчикам сайта, я не понимаю.

Я написал в МТС, через ФБ, через какую-то форму на их сайте, где от меня даже номер паспорта потребовали. В итоге получил отписку в ФБ




и почтой

Здравствуйте, Олег Андреевич.
Сохранность информации защищена законодательством РФ.
С уважением,
Анна Иванова,
ПАО «МТС»

Вот так вот… Хотя я писал про иностранные скрипты.

P.S. После передачи видео пришло сообщение, что моя заявка передана в отдел безопасности. Не знаю, что там с ней сделали, но больше ответов не было.
P.P.S. Тут про Билайн: https://olegon.ru/showthread.php?t=27892
21.09.2017 21:52
Dzloor
 
Этим страдают практически все интернет магазины! К сожалению, это уже не единичный случай, это обыденность.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.